使用4臺(tái)PC（pc多和少，原理是一樣的，所以這里我只用了4臺(tái)pc），華為路由器（R2621）、交換機(jī)（S3026e）各一臺(tái)，組建一VLAN，實(shí)現(xiàn)虛擬網(wǎng)和物理網(wǎng)之間的連接。實(shí)現(xiàn)防火墻策略，和訪問(wèn)控制（ACL）。

方案說(shuō)明：



四臺(tái)PC的IP地址、掩碼如下列表：

P1 192.168.1.1 255.255.255.0 網(wǎng)關(guān)IP 為192.168.1.5

P2 192.168.1.2 255.255.255.0 網(wǎng)關(guān)IP 為192.168.1.5

P3 192.168.1.3 255.255.255.0 網(wǎng)關(guān)IP 為192.168.1.6

P4 192.168.1.4 255.255.255.0 網(wǎng)關(guān)IP 為192.168.1.6

路由器上Ethernet0的IP 為192.168.1.5

Ethernet1的IP 為192.168.1.6

firewall 設(shè)置默認(rèn)為deny

實(shí)施命令列表：

交換機(jī)上設(shè)置，劃分VLAN：

sys

//切換到系統(tǒng)視圖

[Quidway]vlan enable

[Quidway]vlan 2

[Quidway-vlan2]port e0/1 to e0/8

[Quidway-vlan2]quit

//默認(rèn)所有端口都屬于VLAN1,指定交換機(jī)的e0/1 到e0/8八個(gè)端口屬于VLAN2

[Quidway]vlan 3

[Quidway-vlan3]port e0/9 to e0/16

[Quidway-vlan3]quit

//指定交換機(jī)的e0/9 到e0/16八個(gè)端口屬于VLAN3

[Quidway]dis vlan all

[Quidway]dis cu

路由器上設(shè)置，實(shí)現(xiàn)訪問(wèn)控制：

[Router]interface ethernet 0

[Router-Ethernet0]ip address 192.168.1.5 255.255.255.0

[Router-Ethernet0]quit

//指定ethernet 0的ip

[Router]interface ethernet 1

[Router-Ethernet1]ip address 192.168.1.6 255.255.255.0

[Router-Ethernet1]quit

//開(kāi)啟firewall，并將默認(rèn)設(shè)置為deny

[Router]fire enable

[Router]fire default deny

//允許192.168.1.1訪問(wèn)192.168.1.3

//firewall策略可根據(jù)需要再進(jìn)行添加

[Router]acl 101

[Router-acl-101]rule permit ip source 192.168.1.1 255.255.255.0 destination 192.168.1.3 255.255.255.0

[Router-acl-101]quit

//啟用101規(guī)則

[Router-Ethernet0]fire pa 101

[Router-Ethernet0]quit

[Router-Ethernet1]fire pa 101

[Router-Ethernet1]quit